Trojanized Android游戏隐藏图像内的恶意代码
在Google Play上托管的60多个Android游戏具有特洛伊木马的功能,允许它们下载并执行隐藏在图像内的恶意代码。
Rogue Apps由俄罗斯防病毒供应商医生Web的研究人员发现,上周向谷歌报告给谷歌。研究人员被称为新的威胁Android.Xiny.19. Origin。
恶意Android应用程序是在几年前谷歌演出的常见发生,直到几年前在谷歌实施了更严格的检查时。这包括一个名为Bouncer的自动扫描仪,这些扫描仪使用仿真和基于行为的检测。
绕过保镖检测不是不可能的,但很难让大多数恶意制造商留出来。这些天大多数Android特洛伊木马通过第三方应用商店分发,针对启用“未知来源”应用程序的用户。
Android.Xiny.19的作者似乎有点确定。他们的特洛尼化的游戏是功能的,但在背景中他们收集来自目标设备的信息。
此信息包括手机的唯一IMEI和IMSI标识符,MAC地址,移动运营商,国家和语言设置,操作系统版本等。
攻击者还可以指示应用程序显示广告,如果手机上启用了根目录并启动隐藏在图像中隐藏的APKS(Android应用程序包),则静默安装或删除应用程序。
使用隐写术的后一个功能是恶意软件最有趣的功能,并使检测恶意代码难以实现。
“与用于加密源信息的加密的密码学,它可以激发怀疑,隐喻应用于隐藏信息,”Web研究人员在博客文章中表示。“病毒制造商可能决定使预期安全分析师不会注意良性图像的检测程序。”
从命令和控制服务器下载特制的图像后,特洛伊木马通过使用特殊算法从其提取APK。然后,它使用DexclassLoader Android函数加载设备内存中的恶意代码。
攻击与2014年10月的黑色帽子欧洲安全会议的概念非常相似,研究人员Axelle Apvrille和Ange Albertini。
这两个研究人员在他们可以在打开时保持图像的同时隐藏图像文件内的APK。但是,在对其应用解密算法时,它们可以恢复APK。此外,研究人员甚至提到了DexclassLoader可以用来动态将APK加载到内存中,完全作为Android.Xiny.19.Origin现在。